Провайдерлерді таңдау кезінде Due Diligence

1) Неге қажет Due Diligence провайдерлері

• Өнім/ел/деректер бойынша тән тәуекелді сәйкестендіру.
• Шарт жасасқанға дейін комплаенс пен қауіпсіздікті тексеру.
• Келісімшарт кезеңінде SLA/SLO және аудит құқығын белгілеу.
• Деректердің тұтастығын сақтай отырып, мониторинг пен шығу жоспарын (offboarding) баптау.

2) Қашан өткізіледі және не қамтиды

Сәттер: алдын ала таңдау, қысқа тізім, келісімшарт алдында, маңызды өзгерістер кезінде, жыл сайынғы қайта қарау.
Қамту: заңды мәртебе, қаржылық тұрақтылық, қауіпсіздік, құпиялылық, техникалық жетілу, пайдалану/қолдау, комплаенс (GDPR/PCI/AML/SOC 2 және т.б.), география және санкциялық тәуекелдер, ESG/этика, қосалқы мердігерлер.

3) Рөлдер және RACI

(R — Responsible; A — Accountable; C — Consulted; I — Informed)

4) Бағалау критерийлерінің картасы (не тексереміз)

4. 1 Құқықтық және корпоративтік бейін

Тіркеу, бенефициарлар (KYB), сот даулары, санкциялық тізімдер.
Реттеліп көрсетілетін қызметтерге арналған лицензиялар/сертификаттар.

4. 2 Қаржы және тұрақтылық

Аудиттелген есептілік, борыштық жүктеме, негізгі инвесторлар/банктер.
Бір клиентке/аймаққа тәуелділік, үздіксіздік жоспары (BCP).

4. 3 Қауіпсіздік және құпиялылық

ISMS (саясат, RACI), сыртқы тест нәтижелері, осалдықтарды басқару.
At Rest/In Transit, KMS/HSM шифрлау, құпияларды басқару.
DLP/EDRM, журналдау, Legal Hold, ретенция және жою.
Инцидент-менеджмент: SLA хабарламалар, плейбуктер, пост-мортемалар.

4. 4 Сәйкестік және сертификаттау

SOC 2/ISO 27001/PCI DSS/ISO 27701/CSA STAR (мерзімдері мен көлемі).
GDPR/жергілікті нормалар: рөлдер (controller/processor), DPA, SCC/BCR, DPIA.
AML/санкциялық контур (егер қолданылатын болса).

4. 5 Техникалық жетілу және интеграция

Сәулет (көп тененттілік, оқшаулау, SLO, DR/HA, RTO/RPO).
API/SDK, нұсқалау, rate limits, observability (логи/метрика/трейс).
Өзгерістерді басқару, релиздер (blue-green/canary), кері үйлесімділік.

4. 6 Операциялар және қолдау

24 × 7/Follow-the-sun, реакция/қалпына келтіру уақыты, онколла.
Онбординг/оффбординг рәсімдері, айыппұлсыз деректер экспорты.

4. 7 Қосалқы процессорлар және жеткізу тізбегі

Қосалқы мердігерлердің, юрисдикциялардың тізбесі, олардың бақылауы және өзгерістер туралы хабарламалар.

4. 8 Әдеп/ESG

Сыбайлас жемқорлыққа қарсы саясат, мінез-құлық кодексі, еңбек тәжірибесі, есептілік.

5) Due Diligence процесі (SOP)

1. Бастамашылық: қажеттілік карточкасы (мақсаттары, деректері, юрисдикциялары, сындылығы).
2. Біліктілігі: қысқа сауалнама (pre-screen) + санкциялық/лицензиялық чек.
3. Терең бағалау: сауалнама, артефактілер (саясаттар, есептер, сертификаттар), сұхбаттар.
4. Техникалық тексеру: security-шолу, демо-орта, логтарды/метриктерді оқу, PoC.
5. Скоринг және тәуекелдер: тән тәуекел → бақылау профилі → қалдық тәуекел.
6. Ремедиация: келісімшартқа дейінгі шарттар/түзетулер (мерзімдері бар gap-парақ).
7. Контракт: DPA/SLA/audit rights/liability/IP/termination/exit plan.
8. Онбординг: қолжетімділік/SSO, деректер каталогы, интеграция, мониторинг жоспары.
9. Үздіксіз мониторинг: жыл сайынғы қайта қарау/триггерлер (инцидент, субпроцессордың ауысуы).
10. Оффбординг: экспорт, жою/анонимдеу, кіруді қайтарып алу, жойылғанын растау.

6) Провайдердің сауалнамасы (сұрақтардың өзегі)

Юр. тұлға, бенефициарлар, санкциялық тексерулер, 3 жыл ішіндегі даулар.
Сертификаттау (SOC 2 түрі/кезеңі, ISO, PCI), соңғы есептер/scope.
Қауіпсіздік саясаты, деректер мүкәммалы, жіктеу, DLP/EDRM.
Техникалық оқшаулау: tenant-isolation, желілік саясат, шифрлау, кілттер.
Логи және аудит: сақтау, қол жеткізу, WORM/immutability, SIEM/SOAR.
24 айдағы оқыс оқиғалар: түрлері, әсері, сабақтары.
Ретенция/жою/Legal Hold/DSAR ағыны.
Қосалқы процессорлар: тізім, елдер, функциялар, шарттық кепілдіктер.
DR/BCP: RTO/RPO, соңғы тестілеу нәтижелері.
Қолдау/SLA: реакция/шешім уақыты, эскалация, кредит схемасы.
Exit-plan: деректер экспорты, пішімдер, құны.

7) Скоринг-модель (мысал)

Ось: Құқық/Қаржы/Қауіпсіздік/Жекелік/Техника/Операциялар/Комплаенс/Тізбек/ESG.
Әрбір ось бойынша 1-5 балл; қызметтің күрделілігі және деректер түрі бойынша салмақтар.

• 'RR = Σ (салмағы _ i × балл _ i)' → санаттары: Low/Medium/High/Critical.

High/Critical: келісімшартқа дейін ремедиация, күшейтілген SLA шарттары және мониторинг міндетті.
Low/Medium: стандартты талаптар + жылдық қайта қарау.

8) Шарттың міндетті ережелері (must-have)

DPA: рөлдер (controller/processor), мақсат, деректер санаттары, ретенция және жою, Legal Hold, DSAR жәрдемдесу.
Трансшекаралық берілістер үшін SCC/BCR (егер қолданылатын болса).
Security Appendix: шифрлау, логтар, осалдықтар/патчинг, пентесттер, ашылу осалдықтары.
SLA/SLO: реакция/жою уақыты (sev-деңгейлер), кредиттер/айыппұлдар, қолжетімділік, RTO/RPO.
Audit Rights: аудит/сауалнама/дәлелдемелер құқығы; бақылаушылардың/қосалқы процессорлардың өзгерістері туралы хабарламалар.
Breach Notification: хабарлау мерзімі (мысалы, 24-72 сағат ≤), форматы, тергеудегі ынтымақтастық.
Subprocessor Clause: тізім, хабарлама/келісім бойынша ауысу, жауапкершілік.
Exit & Data Return/Deletion: экспорт пішімі, мерзімі, жойылғанын растау, көші-қонды қолдау.
Liability/Indemnity: лимиттер/ерекшеліктер (PI жылыстауы, лицензиялардың бұзылуы, реттеушілердің айыппұлдары).
IP/License: әзірлеу/конфигурациялау/деректер/метадеректер құқықтары.

9) Қайта қарау мониторингі және триггерлері

Сертификаттардың аяқталуы/жаңартылуы (SOC/ISO/PCI), есеп беру мәртебесінің өзгеруі.
Субпроцессорларды/деректерді сақтау орындарын/юрисдикцияларды ауыстыру.
Қауіпсіздік инциденттері/SLA елеулі іркілістері.
Қосылу/жұтылу, қаржылық көрсеткіштердің нашарлауы.
Оқшаулауды/шифрлауды/қолжетімділікті қозғайтын релиздер.
Реттегіш сұраулар, аудиттер Findings.

10) Метриктер мен дашбордтар Vendor Risk Mgmt

Coverage DD: толыққанды DD өткен сыни провайдерлер%.
Time-to-Onboard: өтінімнен келісімшартқа дейін медиана (тәуекел санаттары бойынша).
Open Gaps: провайдерлер бойынша белсенді ремедиация (мерзімі/иелері).
SLA Breach Rate: уақыт/қол жетімділік бойынша SLA бұзушылықтарының үлесі.
Incident Rate: провайдерлер мен күрделілік бойынша инциденттер/12 ай.
Audit Evidence Readiness: өзекті есептердің/сертификаттардың болуы.
Subprocessor Drift: ескертусіз өзгертулер (мақсат - 0).

11) Санаттау және тексеру деңгейлері

12) Чек парақтары

DD жегу

• Қажеттілік карточкасы және қызметтің тәуекел сыныбы.
• Pre-screen: санкциялар, лицензиялар, базалық профиль.
• Сауалнама + артефактілер (саясаттар, есептер, сертификаттар).
• Біріктіру кезінде Security/Privacy review + PoC.
• Мерзімі өткен және иелері бар gap-парақ.
• Келісімшарт: DPA/SLA/audit rights/liability/exit.
• Онбординг және мониторинг жоспары (метрика, алерта).

Жыл сайынғы қайта қарау

• Жаңартылған куәліктер мен есептер.
• Субпроцессорларды/орналасуларды/юрисдикцияларды тексеру.
• Ремедиация мәртебесі, жаңа тәуекелдер/инциденттер.
• DR/BCP тестілері және нәтижелері.
• Dry-run аудит: evidence жинау «түймешігі бойынша».

13) Қызыл жалаулар (red flags)

SOC/ISO/PCI немесе есептердің маңызды бөлімдерін беруден бас тарту.
Деректерді шифрлау/логтар/жою бойынша анық емес жауаптар.
DR/BCP жоспарлары жоқ немесе олар тестіленбейді.
Пост-мортемасыз және сабақсыз жабық оқиғалар.
Деректерді қосалқы процессорларға/шетелге кепілдіксіз шектеусіз беру.
PI ағуы үшін жауапкершілікті агрессивті шектеу.

14) Антипаттерндер

PoC және техникалық тексерусіз «қағаз» DD.
Тәуекел/юрисдикция ескерілмеген әмбебап чек-парақ.
DPA/SLA/аудит құқығы және exit-жоспары жоқ шарт.
Провайдерлер тізілімінің және өзгерістер мониторингінің болмауы.
«Мәңгілік» берілген рұқсаттар/токендер ротациясыз және қайта аттестациясыз.

15) Байланысты wiki баптары

Комплаенс пен есептілікті автоматтандыру

Үздіксіз сәйкестік мониторингі (CCM)

Legal Hold және деректерді мұздату

Саясаттар мен рәсімдердің өмірлік циклі

KYC/KYB және санкциялық скрининг

Деректерді сақтау және жою кестелері

Үздіксіздік жоспары (BCP) және DRP

Жиынтық

Тәуекелге бағдарланған Due Diligence - бұл «белгі» емес, басқарылатын процесс: дұрыс санаттау, негізгі осьтер бойынша терең тексеру, нақты шарттық кепілдіктер және үздіксіз мониторинг. Осылайша, жеткізушілер сіздің тізбегіңіздің сенімді бөлігіне айналады, ал сіз бизнесті тежемей, талаптарға сәйкес келесіз.